JVNDB-2023-003551
|
Digi International 製 RealPort Protocol におけるパスワードの代わりにパスワードハッシュを使用する認証の脆弱性
|
|
Digi International が提供する Digi RealPort Protocol には、次の脆弱性が存在します。
* パスワードの代わりにパスワードハッシュを使用する認証 (CWE-836) - CVE-2023-4299
|
|
CVSS v3 による深刻度
基本値: 8.1 (重要) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
以下の Digi RealPort Protocol を使用する製品が、本脆弱性の影響を受けます。
|
Digi International Inc.
- RealPort software for Windows 4.8.488.0 およびそれ以前のバージョン
- RealPort software for Linux 1.9-40 およびそれ以前のバージョン
- CM Console Server すべてのバージョン
- Connect ES 2.26.2.4 より前のバージョン
- Connect SP すべてのバージョン
- ConnectPort LTS 8/16/32 ファームウェア 1.4.9 より前のバージョン
- ConnectPort TS 8/16 ファームウェア 2.26.2.4 より前のバージョン
- One IA すべてのバージョン
- One IAP Family すべてのバージョン
- One SP すべてのバージョン
- One SP IA すべてのバージョン
- Passport Console Server すべてのバージョン
- PortServer TS M MEI ファームウェア すべてのバージョン
- PortServer TS MEI Hardened ファームウェア すべてのバージョン
- PortServer TS MEI ファームウェア すべてのバージョン
- PortServer TS P MEI ファームウェア すべてのバージョン
- PortServer TS ファームウェア すべてのバージョン
- TransPort WR11XT ファームウェア すべてのバージョン
- TransPort WR21 ファームウェア すべてのバージョン
- TransPort WR31 ファームウェア すべてのバージョン
- TransPort WR44 R ファームウェア すべてのバージョン
|
開発者によると、以下の製品は Digi RealPort Protocol を使用しないため、本脆弱性の影響を受けないとのことです。
* Digi 6350-SR すべてのバージョン
* Digi ConnectCore 8X products すべてのバージョン
|
|
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
* 遠隔の第三者によって、認証をバイパスされ、接続機器にアクセスされる
|
|
[パッチを適用する]
開発者は、影響を受ける製品の一部にパッチを提供しています。
詳細は、開発者が提供する情報を確認してください。
|
|
Digi International Inc.
|
|
- パスワードの代わりにパスワードハッシュを使用する認証(CWE-836) [その他]
|
|
- CVE-2023-4299
|
|
- JVN : JVNVU#92217208
- National Vulnerability Database (NVD) : CVE-2023-4299
- ICS-CERT ADVISORY : ICSA-23-243-04
|
|
- [2023年09月12日]
掲載
- [2024年06月13日]
CVSS による深刻度:内容を更新
|
